청와대 등 40곳 공격...나도 '좀비PC'?

2009년 '디도스 대란'보다 대상 늘어... 4일 오후 추가 공격 예상

▲ 청와대 홈페이지. 디도스 공격이 진행중인 4일 오전 현재 접속은 가능하지만 연결이 원활하지 않다.

ⓒ 청와대

[기사 수정: 4일 오후 1시 30분]

'좀비 PC'를 이용해 청와대 등 주요 국가 사이트 접속 장애를 일으키는 디도스(DDoS; 분산 서비스 거부) 공격이 또다시 발생했다.

정부는 4일 오전 10시부터 청와대, 네이버, 다음 등 40개 주요 사이트에 디도스 공격이 발생했거나 공격이 예상된다며 사이버 위기 '주의' 경보를 발령했다. 이는 '관심-주의-경계-심각'으로 이어지는 경보 단계 가운데 두 번째로, 정부는 지난 2009년 22개 사이트를 대상으로 한 7.7 디도스 대란 때도 '주의' 경보를 발령했다.

10시부터 29개 사이트 공격... 오후 6시 30분 40개 추가 공격 예상

방송통신위원회와 안철수연구소는 이날 오전 10시 청와대 등 국내 29개 웹사이트를 대상으로 디도스 공격이 발생하고 있으며, 이날 오후 6시 30분부터 이를 포함한 40개 사이트에 또다시 발생할 가능성이 있다고 경고했다.

이번 공격 대상은 모두 40개로 청와대, 국가정보원을 비롯해 외교통상부, 통일부, 국회, 국가대표포털, 방위사업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 미8군 전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 금융위원회, 한국철도공사, 한국수력원자력 등 24개 공공기관과 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일저축은행, 농협, 키움증권, 대신증권 등 금융기관, 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 안철수연구소 등 주요 유명 사이트가 포함돼 있다.

이날 오전 10시에는 이 가운데 국정원, 한국철도공사, 옥션 등을 뺀 29개 사이트에서 디도스 공격이 발생했다.

방통위는 이날 오전 "대부분 사이트는 현재 정상 운영 중이지만 일부는 힘들게 방어하고 있다"면서 "지금까지 파악된 좀비 PC는 720여 대지만 앞으로 더 늘어날 가능성이 있다고 판단해 주의 경보를 발령했다"고 밝혔다. 지난 2009년 7.7 디도스 대란 당시에는 좀비 PC 11만 5천여 대가 동원됐다.

안철수연구소는 "이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 22개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다"고 밝혔다. 디도스 공격을 유발하는 악성코드인 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이 설치된 PC는 이른바 '좀비 PC'가 되어 해당 웹사이트를 일제히 공격한다.

셰어박스 등 P2P 사이트에서 유포... 좀비PC 1만1천여 대 확인

이번 디도스 공격은 3일 아침 첫 신고됐으며 국내 P2P사이트인 '셰어박스'와 '슈퍼다운'이 유포처로 확인됐다.

황철증 방통위 네트워크정책국장은 이날 오전 브리핑에서 "어제(3일) 아침 8시 30분 국가사이버안전센터에 국방부, 합참, 국회 등이 디도스 공격을 받았다고 처음 신고했다"면서 "악성코드 11개를 확보해 분석한 결과 공공기관 등 40개 기관이 대상인 걸로 확인했다"고 밝혔다.

방통위는 "인터넷 웹하드업체인 셰어박스를 통해 악성코드가 배포됐고 현재 720여 개 좀비 PC 사용자를 확인해 백신을 제공했다"고 밝혔다. 안철수연구소는 셰어박스 외에 '슈퍼다운' 사이트 일부 파일에 악성코드가 삽입돼 악성코드가 유포됐다고 밝혔다.

한국인터넷진흥원(KISA)은 이날 오후 "오늘 디도스 공격에 이용된 좀비PC가 1만1천여 개로 분석되고 있다"면서 "이번 공격의 특징은 트래픽은 많지 않지만 서버에 부하를 주는 공격"이라고 밝혔다.

안철수연구소는 "디도스 공격용 악성코드 중 일부가 하드 디스크를 손상시키고 데이터를 파괴하는 등 개인 PC에 치명적인 손상을 일으키는 것으로 확인됐다"고 밝혔다. 방통위 역시 자신의 PC가 좀비 PC가 될 경우 자동 PC 파괴 프로그램이 작동한다며 안철수연구소 백신 등을 다운 받아 점검해달라고 당부했다.

안철수연구소는 현재 이들 악성코드를 진단·치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 개발해 무료 배포하고 있다. 개인용 무료백신 'V3 LIte'(http://www.V3Lite.com) 등을 비롯해 기존 V3 제품군 사용자도 최신 버전으로 진단/치료할 수 있다.

KISA에서는 '좀비 PC'를 작동하면 자동으로 감염 사실을 알리는 팝업을 띄워 백신을 다운로드받게 조치했다고 밝혔다. 또 KISA에서 운영하는 보호나라(http://www.boho.or.kr)나 e콜센터(국번없이 118)에서도 기술적인 도움을 받을 수 있다.

김홍선 안철수연구소 대표는 "운영체제(OS)의 보안 패치를 최신으로 유지하고 백신 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 검사 기능을 켜두어야 한다"면서 "이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려 받을 때 백신으로 검사하는 습관이 필요하다"고 당부했다.

김시연 (staright)

문태경 기자
- ⓒ마이데일리(www.mydaily.co.kr). 무단전재&재배포 금지 -